Utilizado por "empresas muy grandes", los desarrolladores rompen manualmente las bibliotecas NPM colors.js y faker.js

Inicialmente, se especuló que las dos bibliotecas de NPM habían sido pirateadas. Pero la historia final es mucho más complicada que eso.

Resulta que los desarrolladores de las bibliotecas antes mencionadas han creado un ciclo interminable que ha provocado miles de proyectos que dependen de colores y falsificaciones para colgar o representar cosas sin sentido.

La biblioteca de colores se descarga más de 20 millones de veces a la semana y casi 19 000 proyectos dependen de ella solo en npm. Mientras tanto, faker tiene 2,8 millones de descargas semanales en npm y tiene más de 2500 proyectos dependientes.

¿Cuál es la razón principal de este incidente?

Los desarrolladores detrás de las populares bibliotecas de código abierto colors (también conocidas como colors.js en GitHub) y faker (también conocidas como faker.js en GitHub) incluyeron deliberadamente una confirmación extraña en ellas. Como resultado, se vieron afectadas miles de aplicaciones que dependían de estas bibliotecas.

Por ejemplo, el kit de desarrollo de la nube de Amazon (aws-cdk) muestra mensajes sin sentido en la consola. El mensaje comienza con tres líneas de LIBERTY LIBERTY LIBERTY, seguidas de una línea de caracteres que no son ASCII. Libertad significa libertad.

Figura 1 Utilizado por

¿Por qué un desarrollador rompería una biblioteca que creó manualmente? La razón más apropiada es la venganza. Los desarrolladores detrás de colours.js y faker.js están decepcionados de que las grandes corporaciones y las empresas de consumo estén "usando" software gratuito proporcionado por la comunidad, pero no lo admitan. Que apoyo hay para la comunidad.

En noviembre de 2020, el desarrollador Marak Squires (una de las personas detrás del proyecto colors.js) dijo que ya no apoyaría a las grandes empresas de forma gratuita. En su lugar, Marak sugirió que la empresa considerara ampliar el proyecto y contratar a otra persona para trabajar en él o pagarle un salario de seis cifras (en dólares estadounidenses) al año.

Comentarios mixtos de la comunidad

Algunos apoyan las acciones de Mark, mientras que otros las consideran irresponsables.

“Si no quieres que otras personas usen el templo, no lo regales. Tu autodestrucción de la biblioteca no solo daña tu negocio, sino que afecta a todos los que la usan. Es una irresponsabilidad”, dijo el experto. . con el apodo. La apuesta de VesOnSecurity por InfoSec.

Tan pronto como estalló la disputa, GitHub cerró temporalmente la cuenta de Marak. Esto también provocó reacciones encontradas.

Figura 2 Utilizado por muchas grandes empresas, los desarrolladores rompieron manualmente las bibliotecas NPM colors.js y faker.js

"¿Eliminar su propio código de (GitHub) también va en contra de los términos del servicio de GitHub? ¿WTF?”, se quejó el ingeniero de software Sergio Gómez.

El caso sigue siendo controvertido y no está claro cómo se resolverá al final. Al mismo tiempo, si usa bibliotecas de color y falsas en su proyecto, asegúrese de no usar versiones peligrosas. Cambiar a colores más antiguos (p. ej., 1.4.0) y versiones falsas (p. ej., 5.5.3) puede ser una solución útil.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!